很多 rootkits 用了一些隱藏技巧,用 netstat 也找不出來,這個時候可以用 chkrootkit 這類工具掃瞄,另外還可以用 Unhide 搜索是否有不尋常的 process 及 port。
Unhide 是一個輕巧的安全工具,可以找出 rootkit 所開啟的 process 或 TCP/UDP ports,除了 Unix 版本外,它還有 Windows 版本。
如果是使用 Redhat,可以到 pkgs.org 下載相應版本的 rpm 檔案裝。
在 Debian / Ubuntu 則較簡單,用 apt-get 安裝就好了。
至於使用上也是很簡單,一般上以下幾個指令就會搜索系統內隱藏的 process 及 ports:
Unhide 是一個輕巧的安全工具,可以找出 rootkit 所開啟的 process 或 TCP/UDP ports,除了 Unix 版本外,它還有 Windows 版本。
如果是使用 Redhat,可以到 pkgs.org 下載相應版本的 rpm 檔案裝。
在 Debian / Ubuntu 則較簡單,用 apt-get 安裝就好了。
# apt-get install unhide
# unhide-posix proc
# unhide-posix sys
# unhide-tcp
# unhide-posix sys
# unhide-tcp
轉自 http://www.hkcode.com/linux-bsd-notes/615
0 意見: